Criar um grupo atribuível a função no Microsoft Entra ID
Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis a funções e atribuir funções do Microsoft Entra a esses grupos. Você cria um novo grupo atribuível de função definindo que as funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou definindo a isAssignableToRole propriedade definida como true. Um grupo atribuível por função não pode fazer parte de um tipo de grupo de associação dinâmica. No Microsoft Entra, um único locatário pode ter um máximo de 500 grupos atribuíveis por função.
Este artigo descreve como criar um grupo atribuível por função usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2
- Administrador de Funções com Privilégios
- Módulo Microsoft.Graph ao usar o Microsoft Graph PowerShell
- Módulo do Azure AD PowerShell ao usar o Azure AD PowerShell
- Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Grupos>de identidade>Todos os grupos.
Selecione Novo grupo.
Na página Novo Grupo, forneça o tipo, o nome e a descrição do grupo.
Definir funções do Microsoft Entra pode ser atribuído ao grupo como Sim.
Essa opção é visível para Administradores de Função Privilegiada porque essa função pode definir essa opção.
Selecione os membros e proprietários do grupo. Você também tem a opção de atribuir funções ao grupo, mas atribuir uma função não é necessário aqui.
Selecione Criar.
Você verá a seguinte mensagem:
Criar um grupo ao qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar esse recurso?
Selecione Yes (Sim).
O grupo é criado com quaisquer funções que você possa ter atribuído a ele.
PowerShell
Use o comando New-MgGroup para criar um grupo atribuível a funções.
Este exemplo mostra como criar um grupo atribuível de função de segurança.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
Use a API Criar grupo para criar um grupo atribuível por função.
Este exemplo mostra como criar um grupo atribuível de função de segurança.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Para este tipo de grupo, isPublic será sempre falso e isSecurityEnabled será sempre verdadeiro.